Лазите ви в інтернеті, і тут на тобі: спливає віконце, попереджаючи вас про те, що доступ в інтернет тепер заблокований і вихід один, – відправити смс на такий-то номер. А буває, нічим не краще за попередній варіант, вискочить порно банер. Існує декілька різновидів так званих, смс - "вибивал" - так ми їх назвемо. Рішення все-таки є, тому відправляти смс настійно не рекомендую. Почнемо все по порядку:
1. Розглянемо троян, який відкрито називає себе Get Accelerator. Антивірусні програми визначають його по різному, наприклад: лабораторія Касперського називає його ім'я так - Trojan-ransom.Win32.Agent.gc; також відомий цей вірус під іменами: Gen:trojan.Heur.Hype.cy4@aSUBebjk (Bitdefender) і Trojan.Winlock.366 (Drweb). Інші захисники можуть надати вам і інші імена. Як працює такий троян? Спливає віконце і повідомляється вам про блокування інтернету, настійно рекомендується продовжити ліцензію на Get Accelerator. Інтернет дійсно блокується і скориставшись диспетчером завдань таку проблему не вирішити.
Шкідливе програмне забезпечення Get Accelerator (Trojan-ransom.Win32.Agent.gc) складається з двох компонентів: 1) драйвер %WinDir%\dmgr134.sys, розмір файлу - 44544 байти. У протоколах AVZ відображується як модуль простору ядра. 2) бібліотека %system32%\{991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3cb}.dll, розмір файлу - 38400 байт. У протоколах AVZ відображується як упроваджена DLL (модуль процесу). Чіткої прив'язки до певних процесів не виявлено.Для видалення типового представника Trojan-ransom.Win32.Agent.gc (Get Accelerator) з вашого апарату необхідно виконати скрипт в AVZ:
Тепер детальніше про те як запустити даний скрипт. Як більшість вже догадаїсь, на допомогу нам знову прийшов всім відомий AVZ. Запускаємо антивірус. Заходимо у файл-виконати скрипт. У вікні, що з'явилося, під назвою «запуск скрипта» пишемо вихідний код, приведений вище. Тиснемо кнопку запустити. Після запуску скрипта комп'ютер повинен перезавантажитися. Перезавантажуємося і розуміємо, що ця «єрунда» все-таки допомогла. (Малюнок подано нижче)
Так, тепер поїхали далі.
Також поширюється в мережі і інша модифікація трояна Get Accelerator (Trojan-ransom.Win32.Agent.gc). Цей вимагач називає себе вже ufast Download Manager. Лабораторія Касперського називає його ім'я так - Trojan-ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb; також відомий цей гад під іменами: Behaveslike:trojan.UserStartup (Bitdefender) і Trojan.Botnetlog.11 (Drweb).Також пропонується відправити смс, лише на інший номер. Шкідлива програма складається з одного основного компонента: виконуваного файлу %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe, розміром 96256 байт, в протоколах AVZ що відображується в списку активних процесів. В деяких випадках в системі зберігається також і дроппер - виконуваний файл %UserProfile%\Главное меню\Программи\Автозагрузка\zavupd32.exe, розміром 32000 байт, в протоколах AVZ що відображується в списку елементів автозапуску.Знову ж таки, відправляти смс настійно не рекомендую.
Запустимо краще ще один скрипт:
var SP: string; begin SearchRootkit(true, true); SetAVZGuardStatus(true); SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup'); QuarantineFile(SP+'\zavupd32.exe',''); QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe',''); DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe'); DeleteFile(SP+'\zavupd32.exe'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end. Комп'ютер перезавантажиться після запуску скрипта. Якщо це рішення вам не допомогло, зверніться на сайт virusinfo.info. Вам обов'язково допоможуть.
2. Часто буває, що людям дістає порно – банер, який теж хоче нас позбавити працею заробленого гроша. Грошей не дамо, проганятимемо скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\еXPLORER.EXE','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\еXPLORER.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Также можно опробовать другое решение: 1. Відкриваєм Internet Explorer > тиснути сервис > свойства обозревателя
2. Переходим на вкладку программы > тиснемо надстройки
У "надстройках" знаходимо і відключаємо всі файли, що закінчуються на lib.dll. Не варто боятися відключити щось зайве — це не виведе «з ладу» систему і завжди можна буде все повернути «на свої місця»; Якщо таких файлів немає - пробуємо перший варіант.
Сподіваюся комусь та допомогло дане рішення. Успіху, процвітання і жодних смс-вімагачів!
